Advarsel! TrickBot Trojan forbedrer teknikker for å unngå deteksjon
TrickBot-trojaneren ser aldri ut til å gå av moten. Det som startet som en sofistikert, men relativt endimensjonal banktrojaner, utviklet seg til en multifunksjonell sveitsisk-hærkniv av et malware-verktøysett. Ny forskning på TrickBot viser at skadelig programvare har vært på opp og opp, både når det gjelder aktiviteten og den stadig voksende beskyttelsen mot deteksjon.
Sikkerhetsforskere med IBMs Trusteer plukket nylig fra hverandre prøver av TrickBot og publiserte en rapport om de stadig mer komplekse måtene skadevare skjuler aktiviteten sin og håndterer kodeinjeksjoner på. Oppgaven skisserer fire forskjellige metoder som TrickBot bruker for å unngå oppdagelse.
Innholdsfortegnelse
Fjerning av lokale injeksjoner
Mens forskere kan være i stand til åanalysere kodeinjeksjoner brukt av TrickBot som er lagret lokalt på den kompromitterte enheten, blir ting mye vanskeligere når skadelig programvare krever kode og injiserer direkte fra serverne. TrickBot bruker enten en JS-laster for å hente den riktige injeksjonen fra sine kommando- og kontrollservere.
Sikker interaksjon med Command Server
Når du sender forespørsler til sin C2-server, bruker TrickBot HTTPS og implementerer flagget "unsafe-url" i henvisningspolicyen. Dette flagget brukes sannsynligvis til å informere C2-serveren om den spesifikke siden som brukeren har åpnet i nettleseren, slik at den respektive kodeinjeksjonen kan returneres.
I tillegg kan TrickBot kapre sertifikatverifiseringsfunksjonene til offerenheten, og undertrykke alle feil som kan oppstå fra den ondsinnede kommunikasjonen boten utløser.
Anti-feilsøkingsfunksjoner
TrickBot har også implementert et nytt anti-feilsøkingsskript. Anti-debuggeren ser etter kode som tilhører TrickBot som har blitt endret og "forskjønnet" for å gjøre den mer lesbar for mennesker, sa IBMs forskere. Skadevaren bruker RegEx-kommandoer for å se etter kode som er ryddet opp og konvertert fra Base64, med mellomrom og nye linjer lagt til for å gjøre det mer tiltalende.
Hvis anti-debuggeren finner ut at koden har blitt reparert av forskere og "forskjønnet", starter den skadelig programvare i en løkke som krasjer nettleseren veldig snart, ettersom minnet overbelastes.
Tilslørende kode
Som standard er koden som brukes for injeksjon av TrickBot alltid kodet med Base64. I tillegg til dette bruker skadelig programvare ekstra trinn for å kryptere og tilsløre koden.
Død kode injiseres også mellom legitime uttrykk, lik hva annen skadelig programvare gjør, for å gjøre det vanskeligere å finne ut den sanne hensikten med modulene til skadevaren.
Kode er forkortet og "uglified" for å gjøre den uforståelig for det blotte øye, men fortsatt beholde sine ondsinnede evner. Strenger i funksjoner flyttes til arrays og krypteres deretter, noe som gjør forskernes jobb enda vanskeligere. Verdier tilordnet variabler er målrettet representert ikke som heltall, men som hex, ofte i absurde uttrykk. Et eksempel gitt av forskere er en verdi på null som initialiseres i koden ved hjelp av strengen (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x49b *0x49b *0 .
TrickBot har vært et kraftsenter i verden av ondsinnede verktøy i årevis, og det viser ingen reelle tegn til å bremse eller forsvinne. Det har vært forsøk på å ta ned den ondsinnede infrastrukturen, men suksessen har vært svært begrenset, og det ser ut til at skadevaren fortsatt fortsetter, år etter den første lanseringen.